如果您认为在 PC 上意外安装恶意软件很糟糕,请等到您发现无文件恶意软件,这是一种不会在您的存储驱动器上留下痕迹的隐秘入侵者。
传统恶意软件一旦检测到,就更容易删除,因为它们在存储驱动器上有可见文件,可供防病毒软件扫描和消除。 无文件恶意软件完全通过 PC 内存 (RAM) 运行,因此检测它要困难得多。
在这篇文章中,我将告诉您有关无文件恶意软件以及如何防范它的所有信息。
目录
什么是无文件恶意软件?
SSUCv3H4sIAAAAAAAACpyRy24DIQxF95X6DyPWGYl5oumvRF0wQGZQCEQ8UlVR/r0Ghoh1d/jYvvY1z8+PpkErdZKhr+YZI4ilUsF5S700GjA+HdwKzYWtycMOM66B4NIbK6mq4Uo92zW9CYA 6KBXxKyWR89QHJ1ycfiBGvdhAI8O3RF7xnOOmJFISOiCF0KliLqyJFZTF/9WZH9/FDd2EZr9p4cqIFUrQbOScS9H1xwt7q63RwKWpXD0MoyoWDJXS3Uom9Va1Gb+ns5c2ZoL2Nq7w3hwpY+50Vf HEF9AUhe/UOSjnhVeDGHyyuVVztPHJwKGKOPxEDLuhX/A0TgvpOjL3hHRHQf69XYJOWqcIQcyuktfWZdwAXfoRzzPBLZlI344LJ+3S9VM7zcuwYrHgkWA4/OsPAAD//wMAPsDJtpgCAAA=
无文件恶意软件是从系统内存中自行执行的恶意代码。 它主要寻找合法应用程序中的漏洞,然后危害它们以自行执行。 在极少数情况下,它可能会打开自己的恶意进程来执行功能。
由于防病毒软件通常会扫描下载和安装的文件/程序,因此无文件恶意软件更难检测,因为它没有关联的文件。 它可以执行的恶意功能与大多数其他恶意软件可以执行的恶意功能类似; 主要区别在于它在 PC 中的驻留方式。
无文件恶意软件如何感染设备?
与大多数其他类型的恶意软件一样,无文件恶意软件也主要通过垃圾电子邮件、恶意网站或社交工程攻击中的恶意链接进行传播。 然而,它在执行上有所不同,因为它寻找 PC 或操作系统本身的程序中的漏洞。
常见的易受攻击的应用程序包括 Powershell、Windows Management Instrumentation (WMI)、浏览器以及安装的任何易受攻击的插件。 它利用该漏洞将恶意代码注入到合法程序中,并根据其目的执行任务。
例如,受感染的Powershell可以执行管理员级别的命令来窃取数据或加密重要数据。
图片来源: 趋势科技
它还可以使用“进程空洞”来清空合法进程的内容,然后用恶意代码填充它,以便以其名义运行。
动力幽灵 是无文件恶意软件攻击的一个很好的例子,该攻击使用 WMI 和 Powershell 在不被发现的情况下对企业 PC 进行加密挖掘。
无文件恶意软件会带来哪些威胁?
正如我之前所说,无文件恶意软件可以执行与驻留在 PC 存储中的恶意软件类似的大多数任务。 这完全取决于无文件恶意软件编码的目的以及它利用的漏洞。
它可以执行的常见恶意功能包括数据盗窃、凭证盗窃、数据加密、监控活动、键盘记录、加密挖掘、DDoS 攻击以及更改安全设置以进行进一步的攻击。
为了让您更好地了解,下面我列出了以前的大规模无文件恶意软件攻击:
威力软件:这是一种勒索软件,它利用 Powershell 秘密运行命令来锁定重要文件并试图伪造它们已加密。 之后,它要求以加密货币付款。
强力嗅探:它通过利用 Microsoft Word 安全设置来执行作为文档发送的宏来传播。 该宏搜索 PC 并窃取凭据。
欺骗机器人:虽然不是完全无文件的恶意软件,但 TricktBot 确实在其高级版本之一中将其模块加载到内存中。 该恶意软件的主要目的是窃取财务凭证。
Netwalker 勒索软件:这是另一种使用无文件策略的勒索软件,但它的加密是真实的。 它用恶意代码替换了合法的 Microsoft 进程,以隐藏自身并运行命令。
如何检测无文件恶意软件?
由于无文件恶意软件都是偷偷摸摸的,因此很难检测到它。 如果您认为您点击了恶意链接并且您的电脑已被感染,您可以采取一些措施来猜测并采取保护措施。
以下是一些需要寻找的常见线索:
异常系统行为:无文件恶意软件可能会引入异常行为,例如某些应用程序打开和关闭、PC 冻结、崩溃或重新启动等。
性能下降:您可能会注意到整体系统性能突然下降。 它也可能导致冻结。
异常的网络活动:除了网络性能较慢之外,您可能会注意到您未访问的域出现异常流量。 我总是推荐 GlassWire 进行网络分析。
进程CPU使用率过高:打开任务管理器,查看是否有异常进程占用过多CPU资源。 即使未主动使用,受损进程通常也会使用较高的 CPU 功率。
防病毒应用程序的更改:无文件恶意软件可能会尝试禁用您的防病毒软件,使电脑容易受到更多类型的恶意软件攻击。
除此之外,您还应该使用具有内置行为检测功能的防病毒软件来捕获无文件恶意软件。 此类防病毒应用程序可以检测应用程序和进程中的异常行为,以检测其是否被感染。
为此,卡巴斯基反病毒软件专门 无文件恶意软件防护 这些工具不仅可以检测异常行为,还可以扫描 WMI 或 Windows 注册表等敏感 Windows 功能以查找恶意代码。 卡巴斯基在发现流行的无文件恶意软件攻击方面也有着悠久的历史。
如果您的设备被感染该怎么办?
如果您认为您的电脑已被感染,那么很可能已经为时已晚。 如果恶意软件打算窃取某些东西,那么他们可能已经这么做了。
但是,您的第一道防线是完全关闭电脑并重新启动。 由于 RAM 是易失性存储器,因此当 PC 关闭时它会被完全删除。 这将有望在造成任何损害之前自动删除无文件恶意软件。
不幸的是,大多数无文件恶意软件都有内置的方法可以在重新启动后幸存下来,例如将代码加载到注册表项中。 如果可能的话,尝试以安全模式启动电脑,然后按照以下方法操作:
#1. 使用防病毒软件扫描
同样,您需要一个防病毒应用程序,该应用程序具有防范无文件恶意软件的工具。 我仍然推荐卡巴斯基来查找无文件恶意软件所做的更改。 不过,您也可以尝试 Malwarebytes,它具有针对无文件恶意软件的基于 AI 的行为检测功能。
#2. 使用系统还原
系统还原可以及时将电脑恢复到之前的状态,并重置对其所做的所有更改。 由于它在所有 Windows PC 上默认启用,因此您的 PC 上也应该启用它,除非您自己禁用它。
只需在 Windows 搜索中键入“恢复”即可打开“系统还原”。 在这里您将看到当前保存的所有还原点以恢复到。 只需选择恶意软件感染之前的那个即可修复所有更改。
#3。 重置电脑
如果您没有还原点,那么重置电脑也可以修复所有损坏,同时保留本地数据。 但是,重置将删除电脑上安装的所有程序,因此请确保其中没有任何重要的保存数据。
在 Windows 设置中,转至系统 > 恢复,然后单击重置电脑。 在弹出窗口中,单击“保留我的文件”并按照说明进行重置。
如何防范无文件恶意软件?
大多数防御常规恶意软件的措施也可以防御无文件恶意软件。 只需确保安装具有行为检测功能的防病毒软件,并且不要下载或点击恶意内容。
但是,有一些保护措施对于防范无文件恶意软件更为重要。 我将它们列出如下:
保持操作系统和应用程序更新
无文件恶意软件很大程度上依赖于应用程序和操作系统中的安全漏洞。 您应该确保您的操作系统具有最新的安全更新并且所有应用程序都是最新的。 其中许多更新包含对无文件恶意软件可以利用的漏洞的修复。
小心浏览器扩展
无文件恶意软件还可以利用漏洞感染浏览器插件。 确保您只下载受信任且信誉良好的浏览器扩展程序并使其保持最新状态。 如果发生感染,建议重新安装扩展以确保它们不是罪魁祸首。
监控网络
几乎所有无文件恶意软件都与自己的服务器建立网络连接来执行其工作。 像 GlassWire 这样的工具不仅可以帮助您发现可疑连接,还可以通过内置防火墙自动阻止它们。 我建议您在其中设置通知,以便在检测到可疑连接时始终收到通知。
提高用户帐户控制 (UAC) 的安全性
您可以将 Windows UAC 配置为在您或应用程序进行任何系统更改时始终通知您。 由于每次更改都会收到通知,这可能会让事情变得有点烦人,但它可以极大地增强针对隐藏恶意软件(如无文件恶意软件)的安全性。
在 Windows 搜索中搜索 UAC,然后单击“更改用户帐户控制设置”。 这里将安全栏设置到顶部。
应用端点安全解决方案
对于企业而言,端点安全解决方案可以通过集中安全性来保护网络上的所有 PC。 即使设备被感染,网络上的其他设备也将保持安全,并且安全解决方案可以帮助修复受感染的设备。 他们的更新也是实时的,因此漏洞修复后会立即修补。
群众罢工 是一个很好的解决方案,可以提供基于人工智能的网络攻击保护。 它还有一个 专用内存扫描仪 无文件恶意软件防护功能。
最后的想法🖥️🦠
无文件恶意软件确实是最聪明的恶意软件攻击之一。 有时,黑客甚至将它们用作大规模攻击的一部分,以获得初始访问权限或削弱系统。 老实说,如果我们控制住好奇心并且不点击任何我们有疑问的内容,大多数此类攻击都可以轻松避免。
接下来,您还可以了解如何扫描和删除 Android 和 iOS 手机中的恶意软件。
